Apa itu ISO 27001

Mengenal Apa itu ISO 27001? Berikut Dokumen Wajib dan Tips Implementasinya

Apa itu ISO 27001? ISO 27001 atau ISMS (Information Security management System) merupakan standar khusus yang terstruktur tentang keamanan informasi yang diakui internasional. Keamanan informasi dapat dicapai dengan menerapkan kontrol yang terdiri dari kebijakan, proses, struktur organisasi dan prosedur. Keamanan aset informasi perusahaan harus menjadi prioritas, membuatnya perlu mempertimbangan untuk mendapatkan sertifikasi ISO 27001. Sebagai persiapan, perusahaan perlu memenuhi persyaratan sertifikasi yang diperlukan, terutama dokumen wajib dan implementasinya. 

Baca juga: Proses Internal Audit ISO 27001 Beserta Checklistnya!

Dokumen Wajib ISO 27001

Untuk mendapatkan sertifikasi ISO 27001, organisasi harus memenuhi  dokumen yang diperlukan untuk menggambarkan implementasi Sistem Manajemen Keamanan Informasi (ISMS), seperti: 

  1. Kebijakan keamanan informasi, berisi tentang komitmen organisasi terhadap keamanan informasi dan menyatakan pendekatan dan tujuan umum untuk melindungi informasi.
  2. Ruang lingkup ISMS, berisikan cakupan ISMS termasuk unit bisnis, departemen, atau area lain di mana ISMS yang akan diimplementasikan.
  3. Analisis risiko, berisikan penilaian risiko keamanan informasi, termasuk identifikasi ancaman, kerentanan, dan dampak yang mungkin terjadi.
  4. Kebijakan pengendalian yang mencakup daftar pengendalian keamanan informasi yang akan diimplementasikan dalam organisasi berdasarkan hasil analisis risiko.
  5. Perencanaan perlindungan data, berisi tentang rencana tindakan untuk mengelola dan melindungi aset informasi secara efektif.
  6. Prosedur operasional standar, berisikan prosedur yang harus diikuti oleh karyawan dan personel dalam mengelola dan melindungi informasi dengan benar.
  7. Kebijakan pengelolaan aset, berisikan bagaimana aset informasi, baik fisik maupun elektronik, akan diidentifikasi, diinventarisasi, dan dikelola.
  8. Panduan untuk pengendalian akses, berisi bagaimana akses ke informasi akan dikendalikan dan diatur.
  9. Panduan untuk pengelolaan kekuatan, menjelaskan langkah-langkah pengelolaan kekuatan dan fasilitas untuk melindungi informasi yang sensitif.
  10. Kebijakan pengamanan resourcenya, berisikan bagaimana perangkat keras, perangkat lunak, dan sumber daya teknologi lainnya akan diamanatkan dan dilindungi.
  11. Panduan untuk penanganan kejadian keamanan informasi, menjelaskan langkah-langkah yang harus diambil ketika terjadi kejadian keamanan informasi atau pelanggaran data.
  12. Prosedur pencatatan dan pelaporan, menjelaskan prosedur untuk mencatat dan melaporkan insiden keamanan informasi serta kegiatan terkait ISMS.
  13. Prosedur audit internal, berisi panduan tentang pelaksanaan dan pelaporan audit internal atas ISMS.
  14. Catatan pelatihan, berisikan catatan pelatihan yang sudah diberikan kepada karyawan terkait keamanan informasi dan ISMS.
  15. Dokumentasi peninjauan manajemen, berisi hasil peninjauan manajemen atas ISMS dan langkah-langkah korektif yang diambil.
  16. Kebijakan penghapusan data, menjelaskan kebijakan dan prosedur untuk penghapusan data yang aman dan memastikan data tidak lagi dapat diakses.

Tips Implementasi ISO 27001

ISO 27001 membantu organisasi atau perusahaan untuk melindungi serta menjaga kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) informasi. Berikut tips implementasi ISO 27001 di perusahaan.

  • Gap analysis

Gap analysis merupakan tindakan dimana perusahaan bisa mengetahui sudah sejauh mana penerapan suatu aturan dan mana saja yang belum. Perusahaan bisa mengetahui gapnya apa dan dimana saja, sehingga bisa melaksanakan perbaikan yang tepat.

  • Kajian risiko

Perusahaan harus melakukan kajian untuk mengetahui risiko-risiko apa saja yang bisa mengancam aset-aset yang terkait dengan informasi.

  • Penyusunan dokumen 

Perusahaan perlu menyusun dokumen dalam setiap kegiatan mitigasi risiko sebagai hasil dari kajian risiko, kemudian diterapkan secara konsisten.

  • Implementasi

Tahapan ini adalah melaksanakan implementasi dokumen yang sudah disusun se­belumnya, sehingga seluruh gap yang telah teridentifikasi pada ta­hap awal dapat ditangani dengan benar.

  • Internal audit 

Tahapan internal audit dilakukan dengan cara melakukan internal assessment, sehingga bisa mengetahui sejauh mana proses implementasi sudah dilakukan dan menentukan tindakan perbaikan diperlukan.

  • Persiapan audit sertifikasi 

Tujuan dari persiapan audit sertifikasi adalah sebagai persiapan secara men­tal dan teknis agar bisa menghadapi audit sertifikasi.

  • Audit sertifikasi

Audit sertifikasi merupakan tahapan yang bersifat formal, dilakukan untuk mengetahui bagaimana implementasi sistem manajemen keamanan informasi, baik efektifitas maupun kes­esuaian terhadap persyaratan ISO 27001.

  • Implementasi ISO 27001

Setelah mendapatkan sertifikasi, perusahaan memiliki tanggung jawab untuk mengimplementasikan standar ISO 27001. Pada tahap ini perlu kerjasama dari semua pihak di organisasi dan tidak bisa sepenuhnya diserahkan begitu saja pada divisi atau departemen IT saja. Sehingga, penerapan standar ini dapat dilakukan secara konsisten dan berkelanjutan.

Kontak kami
Konsultasikan Kebutuhan Konsultasi dan Sertifikasi Perusahaan Anda dengan Kami

Author

admin

×

Halo, Selamat Datang.

Klik untuk mengobrol di WhatsApp atau kirim email ke [email protected]

× Layanan Konsultasi